최근 접속 시 자동으로 악성 파일이 다운로드 되는 사행성 사이트가 발견되어 사용자들의 각별한 주의가 요구 됩니다.

보안 전문 업체 ‘이스트 시큐리티’ 에 따르면 해당 홈페이지 들은 사행성 도박게임을 할 수 있는 웹 페이지로 다수의 홈페이지에서 동일한 악성 파일이 자동으로 다운로드 되는 증상을 확인하였습니다.

[그림1] 자동으로 악성 파일을 다운로드하는 사행성 사이트

해당 파일은 페이지 내 삽입되어 있으며 자동으로 다운로드 된 vcredist_2010.exe 파일을 실행하면 추가로 RuntimeBroker.exe 파일을 C:\Windows\SysWOW64폴더 하위에 저장하고 자동으로 실행합니다.

자동으로 실행 된 RuntimeBroker.exe 파일은 컴퓨터 명, IP, MAC주소, 현재 상태 등을 포함하여 사용자 정보를 서버에 주기적으로 전송합니다.

   [그림2] 추가로 다운로드 된 파일

해당 파일은 현재 사용자가 진행하는 게임 파악 및 단순 사용자 상태 로그 수집 목적으로 보이나 공격자가 해당 파일을 이용하여 사용자 PC에 추가적으로 파일을 설치 할 수 있어 향후 악성행위를 할 가능성이 있어 사용자들의 주의가 필요합니다.

현재 알약에서는 해당 파일들에 대해 Trojan.Dropper.MSIL, Spyware.Infostealer.RedLine 로 탐지 및 치료가 가능합니다.